社會(huì)控制相關(guān)理論及其在信息安全情境中的應(yīng)用

謝宗曉（南開(kāi)大學(xué)商學(xué)院）

甄杰（重慶工商大學(xué)商務(wù)策劃學(xué)院）

社會(huì)控制相關(guān)理論及其在信息安全情境中的應(yīng)用

謝宗曉（南開(kāi)大學(xué)商學(xué)院）

甄杰（重慶工商大學(xué)商務(wù)策劃學(xué)院）

本文介紹了社會(huì)控制相關(guān)的4個(gè)理論及其在信息安全情境中的應(yīng)用，其中包括起源于社會(huì)學(xué)的Ross的社會(huì)控制、起源于管理學(xué)領(lǐng)域的組織控制、起源于犯罪學(xué)領(lǐng)域的Hirschi的社會(huì)控制理論以及自我控制。

信息安全社會(huì)控制組織控制社會(huì)控制理論自我控制

1　Ross與廣義的社會(huì)控制

1.1理論提出及概述

社會(huì)控制（Social Control）由Edward A. Ross在1896年提出②Edward A. Ross（1866—1951）美國(guó)社會(huì)學(xué)家，1891年獲得約翰霍普金斯大學(xué)的政治經(jīng)濟(jì)學(xué)博士學(xué)位，之后在康奈爾大學(xué)、哈佛大學(xué)和威斯康星大學(xué)麥迪遜分校等任教。諸多文獻(xiàn)認(rèn)為社會(huì)控制是Ross在1901年提出，可能是因?yàn)樗?901年出版了《社會(huì)控制》（Ross E.D. 社會(huì)控制. 華夏出版社, 1989.）。但是應(yīng)該注意，在序言中，Ross特意說(shuō)明“本書是原先若干篇以社會(huì)控制為題的文章，這些文章是我在1896年3月至1898年5月寫給《美國(guó)社會(huì)學(xué)雜志》的”。實(shí)際上，社會(huì)控制的概念是在1896年的第一篇論文中提出的，這個(gè)過(guò)程在文獻(xiàn)[1]中有很詳細(xì)的介紹。。Ross指出“人們總有這樣一種錯(cuò)覺(jué)，認(rèn)為秩序是人類遺傳特質(zhì)所要求的優(yōu)良品性構(gòu)成的，而不是因?yàn)樯鐣?huì)對(duì)人們施加控制引起的”。Ross的社會(huì)控制的前提認(rèn)為人的天性中存在一種“自然情緒”，“普通人確實(shí)不是天生就會(huì)蓄意犯罪、貪婪或兇殘”，這個(gè)理論假設(shè)在后期的發(fā)展中，尤其是與Travis Hirschi的社會(huì)控制理論前提存在本質(zhì)不同。因此，社會(huì)控制是一個(gè)廣義的社會(huì)學(xué)概念，包括了一系列甚至假設(shè)都不相同的理論。Ross開(kāi)啟了社會(huì)控制理論，并解釋了個(gè)人與社會(huì)的關(guān)系。

1.2主要內(nèi)容或概念

Ross的社會(huì)控制泛指保證個(gè)體/群體符合并遵守既定社會(huì)約束的機(jī)制，這其中包括了各種依據(jù)或手段，Ross重點(diǎn)關(guān)注了同情心、友善、正義感和怨恨在建立和維持社會(huì)秩序中的作用，并討論了包括輿論、法律、信仰、社會(huì)暗示等一系列的控制手段。在后續(xù)的研究中，按照不同的標(biāo)準(zhǔn)，社會(huì)控制被區(qū)分為不同的類型，例如，正式控制和非正式控制，積極控制還是消極控制，自我控制還是外部控制。這些都成為后續(xù)實(shí)證研究中探討的主要構(gòu)念。

社會(huì)控制被用來(lái)解釋所有誘發(fā)的遵從行為，Stanly Cohen認(rèn)為“社會(huì)控制”的概念過(guò)于廣義，以至于失去了明確的含義。James Chriss將其分為三類：法律的、醫(yī)學(xué)的和非正式的[1]。還有更多的分類方式，例如F. Ivan Nye分為直接控制（制裁）、內(nèi)部控制（文化和社會(huì)化）和間接控制（人際關(guān)系）。

2　組織控制

組織控制（Organizational Control）是指在組織內(nèi)建立并保持權(quán)威的過(guò)程。Tannenbaum[2，3]率先在組織分析領(lǐng)域引入“控制”的概念，Ouchi[4]開(kāi)始考慮控制機(jī)制的設(shè)計(jì)，其中包括市場(chǎng)機(jī)制、行政機(jī)制和宗族（clan）機(jī)制，Eisenhardt[5]提出控制的目標(biāo)是激勵(lì)員工遵守既定的行為，并進(jìn)行了實(shí)證研究。雖然組織控制起源于社會(huì)控制，但是存在諸多不同，嚴(yán)格意義上講，組織控制實(shí)際是一個(gè)技術(shù)問(wèn)題。

信息安全情境中的“控制”構(gòu)念，大多來(lái)源于上述組織分析領(lǐng)域的文獻(xiàn)，在其中“正式控制”一般設(shè)定為規(guī)范，“非正式控制”設(shè)定為社會(huì)或人相關(guān)的策略[6]。其他的類似構(gòu)念也被檢驗(yàn)，例如，社會(huì)壓力[7]、道德信念或個(gè)體規(guī)范[8，9]、羞恥感[9]以及積極控制/消極控制[10]等。

3　Travis Hirschi及其社會(huì)控制理論

3.1理論提出及概述

社會(huì)控制理論（Social Control Theory，SCT）由Travis Hirschi在1969年提出③Travis Hirschi（1935—），美國(guó)社會(huì)學(xué)家，1983年的美國(guó)犯罪學(xué)會(huì)（American Society of Criminology，ASC）主席，1968年獲得加州大學(xué)伯克利分校的社會(huì)學(xué)博士，之后任教于華盛頓大學(xué)、加州大學(xué)戴維斯分校和亞利桑那州立大學(xué)等。Travis Hirschi提出了犯罪學(xué)的社會(huì)控制理論與自我控制理論。一般認(rèn)為他提出SCT在1969年，代表作為：Hirschi T. Cause of delinquency. University of California Press, Berkeley，1969。，主要用于解釋青少年犯罪。SCT一個(gè)非常重要的貢獻(xiàn)在于，絕大多數(shù)的犯罪學(xué)理論探討的基本問(wèn)題是“一部分人為什么會(huì)犯罪”，而SCT探討的出發(fā)點(diǎn)則是“為什么絕大多數(shù)人不犯罪”。也就是說(shuō)，問(wèn)題的出發(fā)點(diǎn)是不同的，SCT的假設(shè)是人都會(huì)犯罪，Travis Hirschi認(rèn)為“我們都是動(dòng)物，每個(gè)人都會(huì)犯罪”，由于社會(huì)控制的存在，使得“絕大多數(shù)人不犯罪”，顯然他認(rèn)為“人性本惡”。

由于“社會(huì)控制”是廣義概念，Hirschi用“社會(huì)紐帶（Social Bond）”來(lái)解釋社會(huì)控制。Hirschi認(rèn)為如果一個(gè)人成長(zhǎng)過(guò)程中，社會(huì)紐帶越強(qiáng)烈，那么犯罪的可能性越低，如果社會(huì)紐帶越弱，則犯罪的可能性越高。通俗地講就是，特立獨(dú)行、蔑視社會(huì)規(guī)范的人更容易脫離社會(huì)的控制。這個(gè)邏輯至少在常識(shí)層面是成立的，例如，“誅九族”“連坐”，古代的刑罰措施隱含的前提是社會(huì)紐帶是重要的。如果一個(gè)人壓根六親不認(rèn)，這類措施就失去了實(shí)際意義。當(dāng)然，這些措施是否真的有效，也缺乏足夠的實(shí)證研究。

3.2主要內(nèi)容或概念

Hirschi將社會(huì)紐帶分為四個(gè)要素，分別為：依戀（Attachment）、承諾（Commitment）④這個(gè)詞匯翻譯不太統(tǒng)一，之前常被翻譯為“追尋”或“奉獻(xiàn)”等。、涉入（Involvement）以及信仰（Belief）。

依戀，是指與家庭、學(xué)校、同伴等其他人的情感聯(lián)結(jié)。一個(gè)人如果與其他人建立了穩(wěn)定的親密關(guān)系，就與這個(gè)世界有了更多的聯(lián)系，對(duì)這個(gè)世界充滿更多的依戀，也在意對(duì)方的期待。因此，一般而言，越多的依戀，意味著越多的牽絆，犯罪行為可能就越少。

承諾，是指用于傳統(tǒng)正?；顒?dòng)的精力以及對(duì)未來(lái)的憧憬等。一個(gè)有志向的人會(huì)對(duì)未來(lái)充滿使命感或承諾感，往往會(huì)花更多的時(shí)間去投入正常的活動(dòng)，犯罪幾率從而也較低。

涉入，是指對(duì)社會(huì)傳統(tǒng)活動(dòng)的參與程度。如果一個(gè)人將更多的時(shí)間投入到工作、勞動(dòng)和教育等活動(dòng)，犯罪幾率就比較低。如果整天無(wú)所事事，對(duì)前途又失去信心，則比較容易有犯罪傾向。例如，賈樟柯的電影《小武》中的主人公。

信仰，是指對(duì)傳統(tǒng)價(jià)值或道德準(zhǔn)則的接受程度。對(duì)于許多人而言，犯罪行為本身就充滿罪惡感，信仰一旦產(chǎn)生，可以有效地抑制犯罪欲望。

在廣義的社會(huì)控制角度思考，絕大多數(shù)人都是遵守社會(huì)規(guī)范的，尤其是東方文化中，“規(guī)范社會(huì)影響”的痕跡更加明顯。如此多的人能夠有秩序地生活，毫無(wú)疑問(wèn)，法律或道德只能約束一部分行為，社會(huì)控制似乎可以解釋這種現(xiàn)象。例如，電影《功夫》中星仔聲稱自己“殺人這種念頭，我每天都在腦子里想滴”，但是促使星仔沒(méi)有實(shí)施的另一個(gè)重要因素應(yīng)該是他所擁有的社會(huì)紐帶，因?yàn)樗麑?duì)同伴關(guān)系充滿“依戀”。至少在促使他回歸正常生活方面，這種依戀起了很大的作用。

3.3在信息安全情境的應(yīng)用

Hirschi的SCT比較清晰地解釋了“為什么絕大多數(shù)人不犯罪”的問(wèn)題，被認(rèn)為是20世紀(jì)最重要的犯罪學(xué)理論之一[11，12]。最近的研究中，Hsu等[6]應(yīng)用了SCT理論驗(yàn)證了信息安全策略效率問(wèn)題，檢驗(yàn)了上文中的4個(gè)主要構(gòu)念，Cheng等[13]也檢驗(yàn)了上述構(gòu)念。

4　自我控制

自我控制理論（Self-control Theory）是一般犯罪理論的一種，是Travis Hirschi與Michael Gottfredson在社會(huì)控制理論的基礎(chǔ)上提出來(lái)的。SCT很大的爭(zhēng)議在于概念不清，而自我控制理論的一個(gè)巨大進(jìn)步是其中包含了自我控制的一個(gè)構(gòu)念。自我控制被認(rèn)為是個(gè)體的內(nèi)在因素，社會(huì)控制被認(rèn)為是個(gè)體所面臨的社會(huì)環(huán)境。Travis Hirschi自己解釋說(shuō)“Gottfredson和我改變了最初的立場(chǎng)，我們認(rèn)為就違法者來(lái)說(shuō)這些行為是缺乏自我控制的表現(xiàn)”。但是對(duì)自我控制的起源，該理論解釋不清。他們認(rèn)為自我控制來(lái)自兒童時(shí)期的灌輸，并且?guī)缀醪粫?huì)受后來(lái)生活的影響。社會(huì)控制只有達(dá)到能夠影響自我控制的水平才能解釋犯罪行為。

自我控制作為一個(gè)重要的構(gòu)念在風(fēng)險(xiǎn)管理和信息安全領(lǐng)域都有較為豐富的研究。例如，Hu等分別用定量實(shí)證[14]和腦神經(jīng)測(cè)量[15]的方法探討了自我控制對(duì)信息安全違規(guī)的影響，Jia等則利用實(shí)驗(yàn)方法發(fā)現(xiàn)在風(fēng)險(xiǎn)感知中，低自我控制會(huì)導(dǎo)致過(guò)高的判斷發(fā)生可能性以及過(guò)低的判斷發(fā)生后的影響[16]。

5　小結(jié)

社會(huì)控制相關(guān)理論起源比較早，在不同的學(xué)科領(lǐng)域都有應(yīng)用和擴(kuò)展。如上文所述，信息安全相關(guān)研究中所引用的概念，大多來(lái)源于組織控制和犯罪學(xué)理論，其示意如圖1所示，在后續(xù)的研究中，我們將更多地關(guān)注構(gòu)念層次的探討，而不僅僅局限于理論本身

圖1　社會(huì)控制理論在信息安全情境中的應(yīng)用

[1]Chriss J J. 社會(huì)控制[M]. 北京：電子工業(yè)出版社, 2012.

[2]Tannenbaum A S. Control in Organizations: Individual adjustment and Organizational Performance[J]. Administrative Science Quarterly, 1962, 7(7): 236-257.

[3]Tannenbaum A S. Control in organizations[J]. American Sociological Review, 1969, 34(4):7-28.

[4]Ouchi W G. A conceptual framework for the design of organizational control mechanisms[J]// Readings in Accounting for Management Control. Springer US, 1979:833-848.

[5]Eisenhardt K M. Control: organizational and economic approaches[J]. Management Science, 1985,31(2), 134-149.

[6]Hsu S C, Shih S P, Hung Y W, et al. The Role of Extra-Role Behaviors and Social Controls in Information Security Policy Effectiveness[J]. Information Systems Research, 2015, 26(2):282-300.

[7]Herath T, Rao H R. Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness[J]. Decision Support Systems, 2009, 47(2):154–165.

[8]Li H, Zhang J, Sarathy R. Understanding compliance with internet use policy from the perspective of rational choice theory[J]. Decision Support Systems, 2010,48(4):635–645.

[9]Siponen M, Vance A, Willison R. New insights into the problem of software piracy: The effects of neutralization, shame, and moral beliefs[J]. Information& Management 2012,49(7):334–341.

[10]Chen Y, Ramamurthy K, Wen K. Organizations' Information Security Policy Compliance: Stick or Carrot Approach[J]. Journal of Management Information Systems, 2012, 29(3): 157‐188.

[11]陳曉明. 學(xué)校與青少年犯罪防范:以社會(huì)控制理論為基礎(chǔ)[J]. 青少年犯罪問(wèn)題, 2004(4):4-10.

[12]吳宗憲. 赫希社會(huì)控制理論述評(píng)[J]. 預(yù)防青少年犯罪研究, 2013(6):76-88.

[13]Cheng L, Li Y, Li W, et al. Understanding the violation of IS security policy in organizations: An integrated model based on social control and deterrence theory[J]. Computers & Security. 2013 (39): 447‐459.

[14]Hu Q, Xu Z C, Dinev T, et al. Does deterrence work in reducing information security policy abuse by employees? [J]. Communications of the ACM, 2011,54, 6: 34–40.

[15]Hu Q, West R, Smarandescu L. The Role of Self-Control in Information Security Violations: Insights from a Cognitive Neuroscience Perspective[J]. Journal of Management Information Systems, 2015, 31(4):6-48.

[16]Jia J S, Khan U, Litt A. The Effect of Self-Control on the Construction of Risk Perceptions[J]. Management Science, 2015, 61(9):2259-2280.

Introduction of SCT and its Application in Information Security Context

Xie Zongxiao ( Business School, Nankai University )
Zhen Jie( School of Business Planning, Chongqing Technology and Business University )

We introduced 4 theories about social control and its application in information security context, including Ross’s Social Control, Organizational Control, Social Control Theory (SCT) and Self-control.

Information Security, Social Control, Organizational Control, Social Control Theory (SCT), Self-control